NRC gibt Empfehlungen für eine bessere Netzwerk- und Softwaresicherheit heraus

Das Netzwerkresilienz Koalition gab Empfehlungen heraus, die darauf abzielen, die Netzwerksicherheitsinfrastruktur zu verbessern, indem Schwachstellen verringert werden, die durch veraltete und falsch konfigurierte Software und Hardware entstehen. NRC-Mitglieder stellten zusammen mit führenden Cybersicherheitsführern der US-Regierung die Empfehlungen auf einer Veranstaltung in Washington, D.C. vor.

Das NRC wurde im Juli 2023 vom Center for Cybersecurity Policy and Law gegründet und möchte Netzwerkbetreiber und IT-Anbieter zusammenbringen, um die Cyber-Resilienz ihrer Produkte zu verbessern. Die NRCs Whitepaper Enthält Empfehlungen für die sichere Softwareentwicklung und das Lebenszyklusmanagement und umfasst die Produktentwicklung „Secure-by-Design“ und „Standard“, um die Sicherheit der Software-Lieferkette zu verbessern.

Zu den NRC-Mitgliedern gehören AT&T, Broadcom, BT Group, Cisco, Fortinet, Intel, Juniper Networks, Lumen Technologies, Palo Alto Networks, Verizon und VMware.

Die Gruppe fordert alle IT-Anbieter auf, die Warnungen der Regierung zu beherzigen, dass bundesstaatliche Bedrohungsakteure ihre Angriffsversuche auf kritische Infrastrukturen verstärkt haben, indem sie Hardware- und Software-Schwachstellen ausnutzen, die nicht ausreichend gesichert, gepatcht oder gewartet werden.

Ihre Empfehlungen stimmen mit denen der Biden-Administration überein Executive Order 14208und fordert modernisierte Cybersicherheitsstandards, einschließlich einer verbesserten Sicherheit der Software-Lieferkette. Sie sind auch der Cybersecurity and Infrastructure Security Agency (CISA) zugeordnet. Security-by-Design und Default Leitlinien und dem im letzten Jahr erlassenen Cyber ​​Security Act der Verwaltung. 

Eric Goldstein, stellvertretender Direktor der CISA für Cybersicherheit, beschrieb die Gründung der Gruppe und die Veröffentlichung des Whitepapers sechs Monate später als eine überraschende, aber willkommene Entwicklung. „Ehrlich gesagt wäre die Idee, dass Netzwerkanbieter, Technologieanbieter und Gerätehersteller zusammenkommen und sagen, dass wir gemeinsam mehr tun müssen, um die Cybersicherheit des Produktökosystems voranzutreiben, noch vor ein paar Jahren ein Fremdwort gewesen“, sagte Goldstein während der NRC-Veranstaltung. „Es wäre ein Gräuel gewesen.“

Umfassende Nutzung von NISTs SSDF und OASIS Open EoX

Das NRC fordert die Anbieter auf, ihre Softwareentwicklungsmethoden mit denen des NIST abzugleichen Secure Software Development Framework (SSDF), während detailliert angegeben wird, wie lange sie Patches unterstützen und veröffentlichen werden. Außerdem sollten Anbieter Sicherheitspatches separat veröffentlichen, anstatt sie mit Funktionsupdates zu bündeln. Gleichzeitig sollten Kunden Wert auf Anbieter legen, die sich dazu verpflichtet haben, kritische Patches separat herauszugeben und sich an die SSDF zu halten.

Darüber hinaus empfiehlt das NRC den Anbietern die Unterstützung OpenEoX, eine im September 2023 von OASIS ins Leben gerufene Initiative zur Standardisierung der Art und Weise, wie Anbieter Risiken identifizieren und End-of-Life-Details in einem maschinenlesbaren Format für jedes von ihnen herausgebrachte Produkt kommunizieren.

Regierungen auf der ganzen Welt versuchen herauszufinden, wie sie ihre Gesamtwirtschaft stabiler, widerstandsfähiger und sicherer machen können, sagte Matt Fussa, Chief Trust Officer von Cisco. „Meiner Meinung nach arbeiten alle Unternehmen eng mit CISA und der gesamten US-Regierung zusammen, um Best Practices wie die Erstellung von Softwarerechnungen und -materialien sowie die Einführung und Umsetzung sicherer Softwareentwicklungspraktiken voranzutreiben“, sagte Fussa während der NRC-Presseveranstaltung diese Woche.

Initiativen zur Erhöhung der Softwaretransparenz, zur Einrichtung sichererer Build-Umgebungen und zur Stärkung von Softwareentwicklungsprozessen werden zu einer verbesserten Sicherheit über die reine kritische Infrastruktur hinaus führen, fügte Fussa hinzu. „Es wird einen Spillover-Effekt außerhalb der Regierung geben, wenn diese Dinge in der Branche zur Norm werden“, sagte er. 

Während einer Frage-und-Antwort-Runde für die Medien unmittelbar im Anschluss an das Briefing räumte Fussa von Cisco ein, dass die Anbieter den Executive Orders zur Ausstellung von SBOMs oder zur Selbstbescheinigung der Open-Source- und Drittanbieter-Komponenten in ihren Angeboten nur langsam nachgekommen seien. „Eines der Dinge, die uns überraschten, war, dass es, als wir bereit waren, sie zu produzieren, nicht ganz Grillen waren, aber die Menge war geringer, als wir erwartet hätten“, sagte er. „Ich denke, im Laufe der Zeit, wenn die Leute mit der Verwendung vertrauter werden, werden wir sehen, dass dies an Bedeutung gewinnt und irgendwann üblich wird.“

Sofortiges Handeln empfohlen

Fussa fordert die Interessengruppen dringend auf, unverzüglich mit der Übernahme der im neuen Bericht dargelegten Praktiken zu beginnen. „Ich möchte Sie alle dazu ermutigen, darüber nachzudenken, dies mit Dringlichkeit zu tun, SSDF mit Dringlichkeit bereitzustellen, SBOMs für Ihre Kunden mit einem Gefühl der Dringlichkeit zu erstellen und bereitzustellen und, ehrlich gesagt, die Sicherheit mit einem Gefühl der Dringlichkeit voranzutreiben, denn Bedrohungsakteure warten nicht. und sie suchen aktiv nach neuen Möglichkeiten, die sie gegen alle unsere Netzwerke nutzen können.“

Als Industriekonsortium kann das NRC nur so weit gehen, dass es seine Mitglieder dazu anregt, seinen Empfehlungen zu folgen. Aber weil das Whitepaper mit der Executive Order und dem übereinstimmt Nationale Cybersicherheitsstrategie Fussa ist davon überzeugt, dass die Einhaltung der vom Weißen Haus im vergangenen Jahr veröffentlichten Verordnung die Anbieter auf das Unvermeidliche vorbereiten wird. „Ich gehe davon aus, dass viele der Vorschläge, die Sie in diesem Papier sehen, gesetzliche Anforderungen sein werden, sowohl in Europa als auch in den USA“, fügte er hinzu.

Jordan LaRose, Global Practice Director für Infrastruktursicherheit bei der NCC Group, sagt, dass es eine bemerkenswerte Bestätigung sei, dass ONCD und CISA hinter den Bemühungen des Konsortiums stünden. Aber nachdem er die Zeitung gelesen hatte, glaubte er nicht, dass sie Informationen enthielt, die nicht bereits verfügbar waren. 

„Dieses Whitepaper ist nicht besonders detailliert“, sagt LaRose. „Es skizziert keinen vollständigen Rahmen. Es bezieht sich zwar auf NIST SSDF, aber ich denke, die Frage, die sich die meisten Leute stellen werden, ist, ob sie dieses Whitepaper lesen müssen, wenn sie einfach hingehen und NIST SSDF lesen könnten.“

Dennoch weist LaRose darauf hin, dass dies die Notwendigkeit unterstreicht, dass sich die Beteiligten mit potenziellen Anforderungen und Verbindlichkeiten auseinandersetzen müssen, denen sie ausgesetzt sein werden, wenn sie keine Secure-by-Design-Prozesse entwickeln und die empfohlenen End-of-Life-Modelle nicht implementieren.

Carl Windsor, Senior Vice President für Produkttechnologie und -lösungen bei Fortinet, sagte, dass jede Anstrengung, vom ersten Tag an Sicherheit in die Produkte zu integrieren, von entscheidender Bedeutung sei. Windsor sagte, er sei besonders ermutigt, dass der Bericht SSDF und andere Arbeiten von NIST und CISA einbeziehe. „Wenn wir unsere Produkte vom ersten Tag an entwickeln und uns dabei an den NIST-Standards orientieren, sind wir zu 90 bis 95 % mit allen anderen Standards, die es auf der ganzen Welt gibt, auf dem neuesten Stand“, sagte er.

• SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
• PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
• PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
• PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
• PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
• Quelle: https://www.darkreading.com/application-security/nrc-issues-recommendations-for-better-network-software-security